Connais ton ennemi : l'analyse des menaces renforce la gestion des accès à privilèges

L'Art de la guerre, traité de stratégie militaire du philosophe chinois Sun Tzu, est l'un des textes les plus influents de l'histoire moderne, puisqu'il contribue à la prise de décisions stratégiques au sein des conseils d'administration d'entreprises, notamment en termes de cybersécurité.

« Si vous ne connaissez ni votre ennemi ni vous-même, chacune [des batailles] sera un grand danger », nous enseigne ainsi Sun Tzu. Et ces conseils constituent un rappel indispensable dans le paysage actuel de la cybersécurité.

Pour faire face à des cybermenaces de plus en plus sophistiquées, les entreprises doivent passer d’un état d’esprit réactif et axé sur la conformité, à une approche plus proactive : les organisations ont besoin d’un flux constant de données et de renseignements, tout au long de leurs opérations de sécurité, car elles ne peuvent se préparer qu’aux menaces connues.

Les outils d’analyse des menaces, qui évaluent les risques de sécurité associés aux accès à privilèges, sont de puissantes armes pour la gestion des accès à privilèges (PAM). Ils jouent également un rôle clé dans l’application des conseils de Sun Tzu à la cybersécurité moderne ; et notamment dans la connaissance des cybercriminels ainsi que des risques liés aux comptes à privilèges non gérés, qui pourraient mettre une organisation en danger. Alors que la plupart des cyberattaquants s’immiscent dans un réseau pour pouvoir ensuite se déplacer latéralement pour escalader les privilèges, les outils d’analyse des menaces fournissent des capacités de réduction des risques indispensables et constituent la base d’un programme PAM efficace. En effet, ils aident les organisations à améliorer leur dispositif de sécurité et leur efficacité opérationnelle, en se comprenant mieux elles-mêmes et leurs ennemis.

Maintenir les comptes à privilèges non sécurisés hors du champ de bataille

L’Art de la guerre comporte un chapitre entier consacré à l’importance de connaître le « terrain » sur lequel se déroule une bataille. En cybersécurité, les programmes PAM bien gérés s’appuient sur l’analyse des menaces pour contrôler et détecter de manière continue les comptes à privilèges non gérés, tant sur site que dans le cloud. La maîtrise de ces comptes constitue une victoire rapide en termes de réduction des risques quantifiables : la solution PAM les prend ensuite automatiquement en charge, ce qui élimine les processus longs et sujets aux erreurs.

Collecter des renseignements et mettre fin aux attaques en temps réel

Une fois que les comptes à privilèges non gérés sont identifiés, il est possible de contrôler de manière cohérente les comportements à risque associés aux vecteurs d’attaque courants dans les environnements SaaS, sur site et IaaS. Grâce au machine learning et à l’intelligence artificielle, l’analyse des menaces définit les modèles d’utilisation de référence des comptes à privilèges, afin de détecter des anomalies comportementales qui pourraient révéler des attaques en cours ; aidant ainsi les organisations à suivre le conseil de Sun Tzu : « Connais ton ennemi et connais-toi toi-même ».

Il peut s’agir notamment d’un employé qui contourne la solution PAM pour réinitialiser un mot de passe ; d’un administrateur qui s’accorde des privilèges inutiles ; d’un utilisateur récupérant un volume inhabituel de mots de passe dans un coffre-fort d’informations d’identification ; d’un employé inactif dont les comptes d’utilisateur refont surface pour accéder à des données sensibles ; ou encore de serveurs signalant un workload important en dehors des heures de travail.

Cependant, lorsque les organisations gèrent et protègent les identifiants relatifs à leurs environnements cloud hybrides, il est possible que ces informations demeurent exposées dans des référentiels de codes publics ou sur les systèmes des utilisateurs finaux. Les attaquants malveillants pourraient donc trouver ces éléments essentiels et les utiliser pour causer des dommages, comme perturber les activités de l’entreprise. Or, l’analyse des menaces dans les solutions PAM détecte lorsque les clés d’accès AWS à privilèges sont utilisées sans avoir été récupérées à partir de la solution PAM. Cette dernière effectue alors automatiquement une rotation des identifiants et alerte les équipes de sécurité, ce qui leur assure un temps de réaction supplémentaire et évite une compromission éventuelle.

Intégrer l’analyse des menaces à privilèges à des outils de sécurité

L’intégration des solutions PAM avec d’autres initiatives, telles que les outils SIEM (gestion des événements et des informations de sécurité), qui enregistrent et analysent les données pour contrôler les événements de sécurité, renforce l’efficacité des deux solutions. En se concentrant sur l’infrastructure la plus sensible d’une organisation et sur l’activité la plus risquée, les solutions PAM détectent en effet des risques que les outils SIEM traditionnels ne sont pas en mesure d’identifier. Le partage bidirectionnel des informations entre les solutions PAM et SIEM élimine donc les cloisonnements d’informations et rassemble les renseignements sur les menaces dans toute l’entreprise. Cela donne aux équipes SOC la capacité de frapper rapidement et de réagir immédiatement aux événements de sécurité.

Comme l’a précisé Sun Tzu : « Connais-toi toi-même et tu gagneras toutes les batailles ».  L’analyse des menaces aide par conséquent les organisations à se préparer à la bataille incessante qui se déroule dans un paysage des menaces en constante évolution. Elle leur permet alors de s’assurer que tous les comptes à privilèges sont entièrement gérés, surveillés et contrôlés, afin de comprendre le comportement de leurs adversaires et de réagir aux menaces en temps réel.